Rejestr Czynności Przetwarzania Danych jest dokumentem, który podlegać może kontroli. Zarówno pod kątem tego, czy administrator prowadzi taki rejestr, w jakiej formie, ale także pod kątem tego, w jaki sposób jest on prowadzony.
Stan faktyczny dotyczy małego biura rachunkowego
Biuro rachunkowe, niewielkie, zatrudniające kilku pracowników, jest podmiotem jaki obsługuje swoich klientów. Czy w związku z tym powinno ono prowadzić rejestr czynności? Zwrócić należy uwagę, iż biuro rachunkowe przetwarza dane swoich klientów, nie są to jego dane.
Podstawy prawne
Rejestr Czynności Przetwarzania Danych - RCPD
Zgodnie z art. 30 ust. 1 Rozporządzenia RODO cyt.: "(...) Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają (...)".
Rejestr Wszystkich Kategorii Czynności Przetwarzania Danych - RWKCPD
Zgodnie z art. 30 ust. 2 Rozporządzenia RODO cyt.: "(...) Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora (...)".
Zwolnienie z obowiązku prowadzenia obu rejestrów
Zgodnie z art. 30 ust. 5 Rozporządzenia RODO cyt.: "(...)Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. (...)".
Konkluzja
W mojej ocenie biuro rachunkowe nie jest zobowiązane do prowadzenia RCPD względem danych, jakie przetwarza, jako podmiot przetwarzający. Zatem będzie biuro zobowiązane do prowadzenia RCPD ale względem danych, co do których jest administratorem. Rejestr Czynności Przetwarzania Danych prowadzi bowiem administrator względem danych, co do których pełni taką rolę. Nie mniej jednak biuro rachunkowe względem danych, jakie przetwarza, jako podmiot przetwarzający, będzie zobowiązane do prowadzenia Rejestru Wszystkich Kategorii Czynności Przetwarzania Danych. Przypomnieć należy, iż dla powstania obowiązku prowadzenia RCPD czy też RWKCPD wystarczy, iż spełniona zostanie którakolwiek, chociażby jedna z przesłanek ich prowadzenia.
UODO
Grupa Robocza Art. 29 przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania.
Obowiązek ten trzeba realizować, gdy przetwarzanie:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
- nie ma charakteru sporadycznego,
- obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Przy czym dla jego powstania wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie. Rejestr czynności przetwarzania trzeba jednak prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania. Pełny tekst stanowiska Grupy Roboczej Art. 29.
Autor stanowiska.
Autor: Dominik Spałek
Kontakt: 694 494 240
email: biuro@prostetorodo.pl
Dokumentacja RODO dla biura rachunkowego. Kompletny zestaw wzorów dokumentów i procedur.
1499,00 pln
Kompletny Rejestr Czynności Przetwarzania Danych Osobowych dla mikroprzedsiębiorstw
799,00 pln
Test równowagi dla prawnie uzasadnionego interesu administratora. Procedura pozwalająca wykonać test równowag.
198,00 pln
Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO to narzędzie, które ułatwi Państwu spełnienie obowiązków ADO.